O que é o scan de aplicações?
O scan de aplicações é um mecanismo de descoberta passiva e contínua projetado para fornecer aos administradores de segurança uma visibilidade completa do inventário de softwares instalados nos endpoints gerenciados pelo Segura® EPM Windows.
Esta funcionalidade resolve a lacuna entre o desconhecimento do parque tecnológico e a aplicação de políticas de privilégios, permitindo que a criação de regras de segurança seja baseada em dados reais e não em suposições.
Por que utilizar o scan de aplicações?
Tradicionalmente, administradores de TI enfrentam dificuldades para listar executáveis e softwares presentes nas máquinas dos usuários sem recorrer a ferramentas externas de inventário. O scan de aplicações integra essa inteligência diretamente ao console do EPM, permitindo:
Eliminação de Ferramentas Externas: Reduz a dependência de inventários de terceiros para a coleta de dados de executáveis.
Tomada de Decisão Baseada em Dados: Facilita a criação de listas de acesso (Allowlists/Denylists) fundamentadas no que realmente existe no ambiente.
Resposta Rápida a Novas Ameaças: Permite que administrador do ambiente identifique rapidamente softwares recém-instalados ou execuções fora do padrão.
Conceitos Fundamentais
Para compreender o funcionamento do scan de aplicações, é importante distinguir como a coleta e o processamento de dados ocorrem.
1. Mecanismo de Coleta Automática
O scan não é um processo manual disparado sob demanda, mas sim uma tarefa de segundo plano vinculada ao Recorder do agente EPM.
- Gatilho: O funcionamento do scan é atrelado à execução do serviço de gravação (Recorder) no dispositivo.
- Periodicidade: A coleta ocorre automaticamente a cada 15 minutos.
- Transparência: O processo é projetado para ser imperceptível ao usuário final, garantindo que a produtividade não seja impactada pelo consumo de recursos do sistema.
- Envio de Dados: Toda vez que o agente identifica os softwares instalados, ele gera um evento chamado Windows Application Scan e envia essas informações para o backend. Este envio ocorre junto aos demais eventos a cada 15 minutos, ou toda vez que o serviço for reiniciado.
2. Foco em Aplicações Instaladas vs. Executadas
É fundamental notar que o foco principal desta funcionalidade é o scan de aplicações instaladas. Enquanto outros logs do EPM focam em quem executou o quê, o scan foca em o que está disponível para ser executado. Essa distinção é o que permite a criação proativa de políticas antes mesmo que um software nocivo ou não autorizado seja aberto pelo usuário.
O scan de aplicações é uma funcionalidade global dentro do produto. Uma vez ativado nas configurações do EPM, ele passará a operar em todos os dispositivos Windows que possuam a versão do client compatível.
Relatórios
Para transformar os dados coletados pelo scan em inteligência prática, o Segura® EPM Windows oferece um dashboard e quatro relatórios principais. Eles permitem que o administrador monitore desde a presença de softwares até o comportamento dos usuários.
Dashboard estatísticas do scan
O dashboard estatísticas do scan oferece uma visão centralizada para monitorar e gerenciar as aplicações escaneadas, executadas e bloqueadas no EPM, permitindo acompanhar em tempo real a atividade dos endpoints e identificar comportamentos que demandam ação administrativa ou ajustes de política. Mais informações em Estatísticas do Scan.
Relatório de aplicações
É o inventário central gerado pelo scan. Ele detalha os softwares instalados no parque, auxiliando tanto no controle de licenciamento quanto na análise de segurança. Mais informações em Aplicações.
Relatório de uso de aplicações
Fornece uma visão analítica sobre como as aplicações estão sendo utilizadas, registrando interações que fogem às regras de privilégios definidas para o ambiente Windows. Mais informações em Uso de aplicações.
Relatório de execuções
Funciona como um histórico completo, exibindo o registro de todas as aplicações que foram de fato iniciadas nos dispositivos Windows monitorados.
Relatório de execuções não autorizadas
Foca na segurança e conformidade, listando ações de usuários que tentaram executar programas que violam as políticas de acesso ou privilégios estabelecidas. Mais informações em Execuções não autorizadas.